Законодательство о защите персональных данных: что нужно знать каждому

В эпоху цифровой экономики наши данные стали одной из самых ценных валют. В связи с этим законодательство о защите персональных данных приобретает особое значение, превращаясь в главный инструмент контроля над собственным цифровым следом. Кто имеет право собирать вашу информацию? Как вы можете требовать ее удаления? И какие многомиллионные штрафы грозят тем, кто игнорирует эти правила? Во всех этих вопросах разбирался «Днепр Оперативный».

Что относится к персональным данным

Персональные данные — это любая информация, которая прямо или косвенно относится к конкретному физическому лицу (ФИО, идентификационные номера, адреса, телефон, фото, IP в определенных контекстах и т. д.). Есть отдельная категория чувствительных (особых) данных — расовое/этническое происхождение, политические/религиозные убеждения, данные о здоровье, половой жизни и т. д. Обработка таких данных строго ограничена и допускается только по специальным основаниям, предусмотренным законом.

Закон Украины «О защите персональных данных»

По состоянию на 2025 год действующим является Закон Украины «О защите персональных данных» (№ 2297-VI). Однако ключевым изменением является ожидаемое принятие нового Закона (на основе законопроекта №8153), который:

• Адаптирует законодательство к стандартам GDPR и Конвенции 108+.
• Устанавливает новые, более строгие требования к получению согласия на обработку: согласие должно быть явно выраженным (активное действие, а не бездействие), конкретным, добровольным и информированным.
• Урегулирует особенности обработки данных в сфере трудовых отношений, правоохранительной деятельности и для целей журналистики.
• Закрепляет обязанность назначать ответственное лицо по вопросам защиты персональных данных (Data Protection Officer) для определенных категорий контролеров/операторов.

Права граждан на использование их персональных данных

Основные права субъекта данных по закону (реализация в Украине):

• Право на доступ: получить любую информацию о себе, которая обрабатывается (кто, зачем, источник, сроки хранения, адресаты передачи). 
• Право требовать исправления/уничтожения неточных или незаконно обработанных данных (в определенных пределах; есть нюансы для архивных и законодательно определенных реестров). 
• Право на информацию о передаче/распространении, в т.ч. о передаче за границу (здесь вопросов стало больше с учетом GDPR-стандартов). 
• Право жаловаться: на нарушения — в уполномоченные органы (см. далее о механизме ответственности и контроле).

Обязанности компаний и организаций

Краткий практический перечень обязанностей для бизнеса и госсектора:

• Иметь законное основание для обработки (например, согласие или другое основание). 
• Прозрачность: информировать субъекта о цели обработки, контактах владельца/распорядителя, сроках хранения. 
• Регистрация баз / уведомление: в зависимости от типа базы данных — госреестры или уведомление/регистрация в уполномоченных органах (для баз, создающих повышенный риск, существует обязанность информировать). Для отдельных госструктур — утвержденные отраслевые порядки обработки/защиты. 
• Технические и организационные меры — политики, внутренние регламенты, ограничение доступа, шифрование, резервные копии, аудит безопасности. Предприятиям рекомендуется назначать DPO/ответственных лиц. 
• Сообщение о нарушении: по предусмотренным правилам — информировать уполномоченные органы и, в отдельных случаях, субъектов данных (в Украине на 2024–2025 гг. практикуется ужесточение требований к сообщениям).

Ответственность за нарушение законодательства в сфере персональных данных

• Административная (ст. 188-39 КУоАП): штрафы от 200 до 2000 необлагаемых минимумов доходов граждан (в зависимости от нарушения). 
• Уголовная (ст. 182 УК): за незаконный сбор, хранение, использование, уничтожение, распространение конфиденциальной информации о лице: штраф (до 1000 н.м.д.г.), исправительные работы, арест или ограничение свободы.
• Гражданско-правовая (Гражданский кодекс Украины): возмещение убытков, причиненных неправомерной обработкой персональных данных (право на компенсацию).

Европейский опыт и GDPR: влияние на украинское законодательство

GDPR (General Data Protection Regulation — общий регламент о защите данных ЕС) является мировым золотым стандартом защиты данных. Хотя GDPR не имеет прямого действия в Украине (поскольку Украина не является членом ЕС), его влияние является решающим.

GDPR (EU) с 2018 года стал ориентиром для реформирования национальных правил во многих странах, включая Украину. После 2018 года Украина системно начала согласовывать практику и законодательные инициативы с GDPR-стандартами (принципы минимизации, прозрачности, более строгий контроль трансферов данных, усиленная ответственность).

Ранее мы писали, как внутренний туризм влияет на финансовое здоровье страны и какие направления остаются наиболее востребованными.

Также мы рассказывали, как функционируют суды сегодня, какие изменения произошли на разных уровнях судебной власти и что принесло с собой внедрение электронного судопроизводства.